ISO / IEC 27001: 2013 è uno standard internazionale promosso da ISO che stabilisce i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS). Il principale obiettivo di ISMS è ridurre il rischio IT della propria organizzazione identificando le minacce, implementando i controlli di sicurezza, misurandone l'efficacia e migliorandole continuamente.
La ISO / IEC 27001: 2013 è uno standard di una famiglia . Ad esempio, ISO 27000 ha definizioni, best practice ISO 27002 (best practice! = Requisiti) e così via ...
Il principale obiettivo di ISO 27001 non è quello di essere verificato ma di essere implementato prima in un'organizzazione. Dopo di ciò, può essere controllato. Gli audit possono essere di prima parte, seconda o terza parte (certificazione). Il superamento di un audit di terze parti da parte di un'organizzazione accreditata garantisce la certificazione del tuo ISMS conforme allo standard ISO 27001.
Se si controlla semplicemente la conformità con ISO 27001 senza prima implementarlo, come per esempio per avere una misura della propria sicurezza, a mio parere, il risultato sarà ingannevole perché ISO 27001 richiede una documentazione e la sua mancanza non implica che non sei sicuro (non averlo implica che tu sia sicuro)
IMO, il modo migliore per conoscere la ISO 27001 è acquistare gli standard ISO 27001 e ISO 27002 dal sito ISO e studiarli.